這是"熊貓燒香"病毒的一個變種,它能感染系統中可執(zhí)行文件與網頁文件,
同時它還能通過局域網傳播.建議用戶及時安裝Windows補丁程序
并為登錄帳號改一個足夠強壯的密碼.

1:拷貝文件
病毒運行后,會把自己拷貝到
C:\WINDOWS\System32\Drivers\ncscv32.exe

2:添加注冊表自啟動
病毒會添加自啟動項
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
nvsvc32->C:\WINDOWS\System32\Drivers\ncscv32.exe

3:關閉指定窗口
病毒會尋找桌面所有窗口及其子窗口,關閉標欄題中含有以下字符的程序
天網
防火墻
進程
VirusScan
SymantecAntiVirus
SystemSafetyMonitor
SystemRepairEngineer
WrappedgiftKiller
游戲木馬檢測大師
超級巡警

4:中止進程
病毒會中止以下進程
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
taskmgr.exe
msconfig.exe
regedit.exe
SREng.EXE
spoclsv.exe
nvscv32.exe
sppoolsv.exe
spo0lsv.exe

其中spoclsv.exe,nvscv32.exe,sppoolsv.exe,spo0lsv.exe這四個進程名是
舊版變種熊貓燒香病毒的進程名

5:修改注冊表鍵值
病毒會刪除安全軟件在注冊表中的鍵值,使它們不能啟動
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
NetworkAssociatesErrorReportingService
ShStartEXE
YLive.exe
yassistse

并修改以下值不顯示隱藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue->0x00

6:刪除服務
病毒會停止并刪除以下系統中以下服務:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
SymantecCoreLC
NPFMntor
MskService
FireSvc

7:感染文件并刪除文件
病毒會感染擴展名為exe,pif,com,src的文件,把自己附加到文件的頭部
并在擴展名為htm,html,asp,php,jsp,aspx的文件中添加一隱藏框架,如下

用戶一但打開了該文件,IE就會在后臺打開該網址,
且該網頁有漏洞,新變種的病毒會被下載并運行.
但病毒不會感染以下文件夾名中的文件:
WINDOW
Winnt
SystemVolumeInformation
Recycled
WindowsNT
WindowsUpdate
WindowsMediaPlayer
OutlookExpress
InternetExplorer
NetMeeting
CommonFiles
ComPlusApplications
Messenger
InstallShieldInstallationInformation
MSN
MicrosoftFrontpage
MovieMaker
MSNGaminZone
和文件名為
setup.exe和NTDETECT.COM的文件

病毒會刪除擴展名為gho的文件,該文件是一系統備份工具GHOST的備份文件
使用戶的系統備份文件丟失.

8:感染局域網內其它機器
病毒會枚舉局域網內的其它機器,并嘗試用字典里面的密碼登錄,若登錄成功,就復制自己到該機器上,
并添加計劃任務運行病毒.
用戶名字典:
Administrator
Guest
admin
Root

密碼字典:
admin
1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwery
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
1234456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
110
111111
121212
123123
1234qwer
123abc
007
aaa
patrick
pat
administrator
root
sex
god
fuckyou
fuck
test
test123
temp
temp123
win
pc
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100

9:添加autorun
病毒會把自己復制到每個磁盤的根目錄下,命名為setup.exe,
并添加入autorun.inf,使每次打開磁盤都能運行一次病毒體.

建議用戶及時補上Windows安全補丁,并為登錄帳號設置一個足夠安全的密碼,
同時不建議開啟磁盤自動運行功能.